Ratgeber: Haftung bei Cloud Computing und SaaS

Softwareanbieter in der Haftung: Risiko Datenhaltung und Datenverlust
Gigantische Speicherkapazitäten, schier unbegrenzte Rechenleistung – und dazu auch noch die passende Umgebung: Es geht in der Wolke nicht mehr nur um das „nackte“ Speichern von Daten. Durch Software-as-a-Service-Lösungen werden vom Softwareanbieter auch infrastrukturelle Tätigkeiten übernommen.
Die Datenhaltung spielt sowohl für den Betreiber outgesourcter Backup-Lösungen (PaaS) als auch für den Anbieter outgesourcter Office- oder CRM-Lösungen (SaaS) eine große Rolle.
Das Problem: Im Fall von Datenverlust können hohe Vermögensschäden beim Kunden entstehen – durch Gewinnausfall und Umsatzeinbußen oder durch die mühsame Wiederherstellung der Daten. Am Ende kann der Softwareanbieter dafür haftbar gemacht werden – inklusive aller Schadenersatzforderungen.
Tipp: Die Eintrittsmöglichkeit eines solchen Szenarios sollte auch in den vertraglichen Vereinbarungen und Regelungen zur geschuldeten Leistung, den Verantwortlichkeiten und letztendlich auch der Haftung berücksichtigt werden.
Service-Level-Agreements genau prüfen
Das Konzept Cloud Computing ist komplex – auch deshalb, weil SaaS-Lösungen über verschiedene „Modelle“ angeboten werden können. So greifen viele Anbieter von SaaS-Lösungen auf die Serverkapazitäten externer Provider (Drittprovider) zurück. Dadurch entstehen Providerketten. Die Folge: Die Hardware unterliegt dann nicht mehr dem direkten Einfluss des eigentlichen Softwareanbieters.
In diesem Fall kommt den Service-Level-Agreements (SLA-Verträgen) mit dem Betreiber dieser Server (Drittprovider) eine zentrale Bedeutung zu: Sie sollten sehr genau geprüft werden.
Zudem besteht haftungstechnisch unter Umständen ein Drittverschulden, da Fehler nicht nur auf Seiten des Cloud-Computing oder SaaS-Anbieters, sondern auch auf Seiten des Hosters passieren können (z.B. Server- oder Festplattenausfall).
Versicherungstechnisch agiert der Hoster als Subunternehmer des Softwareanbieters. Auch hieraus können sich besondere Anforderungen an Haftung und Versicherungsschutz ergeben: Hat es der Softwareanbieter beispielsweise versäumt mit dem Kunden vertraglich zu vereinbaren, dass seine Daten an Dritte (Cloud Provider) übermittelt werden dürfen, kann schnell eine Datenschutzrechtsverletzung entstehen – für die er verantwortlich gemacht werden kann.
Deutsche Allgemeine Geschäftsbedingungen (AGB) verhindern Risikoverteilung
Probleme machen den Cloud Service Anbietern auch Regelungen in den Allgemeinen Geschäftsbedingungen: Rechtsexperte Dr. Carsten Schulz kommt in dem von ihm geschriebenen Beitrag zum „Einfluss des deutschen Rechts auf Cloudverträge“ zu dem Schluss: „In Deutschland stellen sich für Cloud Services hinsichtlich der vertraglichen Regelungen der Risiken spezielle Problematiken, da hier die Formulierungsfreiheit der AGB der Vertragsparteien von Gesetzesseite bereits erheblich eingeschränkt sind.“
Die entscheidende Hürde für den Provider dabei sei, „dass die deutschen Gesetze zur Gestaltung der AGB eine freie Risikoverteilung zwischen den Vertragsparteien nicht zulassen und darüber hinaus bestimmte Haftungsbeschränkungen der Provider (wie sie häufig in anderen Ländern angewandt werden) unterbinden.“
Der Versuch, Risiken mittels AGB unter den Parteien zu verteilen, könnte deshalb dazu führen, dass der Provider gezwungen werde, die unbegrenzte Haftung zu übernehmen, falls die Allgemeinen Geschäftsbedingungen nicht die strengen Richtlinien der geltenden Gesetzgebung erfüllten.
Auf der nächsten Seite geht es weiter mit:
- Rechtsprobleme, wenn Daten auf Servern im Ausland liegen
- Risiko Datenschutz und Datensicherheit
- Checkliste zur IT-Haftpflicht
Rechtsprobleme, wenn Daten auf Servern im Ausland liegen

(Foto: karindalziel / flickr.com, Lizenz: CC-BY)
Ein weiteres Problem: Viele Provider besorgen sich ihre Ressourcen dort, wo sie am günstigsten sind – im Ausland. Für den Softwareanbieter kann das schnell zum rechtlichen Fallstrick werden. Handelt es sich bei den in der Cloud gespeicherten Daten um steuerrechtlich relevante Daten, muss der Softwareanbieter sich auch an deutsches Recht halten – er darf sie nicht so einfach ausgliedern.
Dazu kommt: Prinzipiell gilt das Rechtssystems jenes Landes, in dem die Daten physikalisch gespeichert sind. Auch, wenn der Server also in Regionen steht, die deutlich vom deutschen Rechtssystem abweichen, haftet der Softwareanbieter für die eingestellten Inhalte.
Risiko Datenschutz und Datensicherheit
In der Regel ist der Softwareanbieter auch für die Sicherheit der Daten gegenüber Dritten verantwortlich. Daraus ergibt sich ein weiteres haftungsrechtliches Risiko.
Denn: Der Schutz der Daten in der Wolke ist ein sensibles Thema, da es bei der Nutzung Cloud-basierter Dienste meist auch zur Speicherung von personenbezogenen Daten auf den Systemen des Dienstleisters kommt (z.B. Arbeitnehmer- und Kundendaten) – die weltweit verteilt abgespeichert sein können.
Um die sensiblen Daten in Cloud-Umgebungen zu schützen und damit IT-Sicherheit zu gewährleisten muss der Softwareanbieter deshalb die
- Verfügbarkeit,
- Integrität,
- Vertraulichkeit,
- Authentizität und
- Zurechenbarkeit technischer Informationen
sicherstellen.
Der Softwareanbieter ist folglich klar in der Verantwortung, wenn seine SaaS-Lösung eine Sicherheitslücke aufweist, durch die Dritte in das System eindringen und an die Datensätze des SaaS-Kunden gelangen.
Übrigens: Auch bei „Hackerangriffen“ von Dritten handelt es sich um sogenannte Vermögensschäden. Um sich dagegen abzusichern, benötigt der Softwareanbieter eine spezielle Vermögensschadenhaftpflicht – in der herkömmlichen Betriebshaftpflichtversicherung ist die Absicherung dieser Risiken standardgemäß nicht enthalten.
Security Service Level Agreements (SSLA) sind vor diesem Hintergrund ein wichtiges Stichwort: Denn wenn bekannt wird, dass Adressdatensätze von SaaS-Kunden an Unbefugte gelangt sind, werden deren Partner oder Kunden wiederum unter Umständen reagieren und die Geschäftsbeziehung auflösen.
Auch in diesem Fall hat der SaaS-Kunde gegenüber dem Softwareanbieter einen Haftungsanspruch. Zudem kann er Schadenersatz für Maßnahmen fordern, mit denen er versucht hat, das Kundenvertrauen wiederherzustellen – z.B. kostspieligem Marketing. Versicherungstechnisch spricht man in einem solchen Fall von einem Folgeschaden.
Checkliste zur IT-Haftpflicht
Durch Cloud Computing verschieben sich Risiken und neue kommen dazu. Softwareanbieter, die solche Haftungsrisiken umfassend versichern wollen, brauchen eine zeitgemäße Vermögensschadenhaftpflicht (kurz IT-Haftpflicht).
Auf welche Leistungsmerkmale dieser IT-Haftpflicht der SaaS- und Cloud Computing-Anbieter dabei besonders achten sollte, zeigt die nachfolgende Checkliste:
- Hohe Versicherungssummen bzw. Deckungssummen für reine Vermögensschäden (je nach Umfang der angebotenen Leistungen mindestens 1 bis 2,5 Mio. Euro).
- „All-Risk-Deckung“ für alle Risiken eines IT-Unternehmens (nicht nur benannte Gefahren).
- Mitversicherung von Vermögensfolgeschäden wie Gewinnausfall des Kunden, Betriebsunterbrechung oder Verzögerungsschaden.
- Mitversicherung von Mehrkosten des Kunden in Erwartung einer ordnungsgemäßen Leistung.
- Der Vertrag sollte keine Ausschlüsse oder Sublimite (reduzierte Versicherungssummen) für Rechtsverletzungen z.B. von Datenschutzgesetzen, Urheberrechten oder Persönlichkeitsrechten aufweisen.
- Die fahrlässige Übermittlung von Viren aller Art, sowie Hackerangriffe Dritter (die z.B. auf Sicherheitslücken der Software zurückzuführen sind) sollten mitversichert sein.
- Versicherungsschutz für das Abweichen von der vereinbarten Beschaffenheit (z.B. im Rahmen von Service Level Agreements) von Sachen, Lieferungen oder Leistungen, auch wenn verschuldensunabhängig gehaftet werden muss.
- Die Vergabe von Leistungen an Subunternehmer sollte ausdrücklich versichert sein.
- Da bei SaaS- und Cloud-Lösungen den vertraglichen Regelungen mit Kunden und Subunternehmern (wie z.B. Hostprovidern) eine sehr wichtige Bedeutung zukommt, müssen auch bestimmte Bereiche der vertraglichen Haftung mitversichert sein.
Zum Thema vertragliche Haftung noch ergänzend: Normalerweise sind durch eine IT-Haftpflicht Ansprüche auf Basis der gesetzlichen Haftungsregelungen (z.B. Schuldrecht im BGB) versichert. Man spricht hier allgemein von „gesetzlicher Haftung“.
Wenn jedoch Softwareanbieter umfangreiche vertragliche Leistungszusagen (z.B. im Rahmen von SLAs) eingehen, kann dadurch die Haftung über die gesetzlichen Regelungen hinaus erweitert werden (Stichwort „Haftungsverschärfung“). Diese erweiterte Haftung ist jedoch nur dann vom Versicherungsschutz umfasst, wenn eine spezielle Leistungserweiterung für Ansprüche aus der „vertraglichen Haftung“ besteht.
Über den Gastautor
Ralph Günther ist Geschäftsführer von exali.de, einem Versicherungsportal für Dienstleister und freie Berufe.
Bildnachweis für die Newsübersicht: Collage verwendet Bilder von karindalziel / flickr.com, Lizenz: CC-BY und © Moonrun, fotolia.com
Schon extrem, mit wie viel Know-How man an die Sache gehen muss. Man unterschätzt den Aufwand auf seiten Sistrix, Dropbox & Co. schon extrem…
ich freue mich darüber, dass es auch einmal einen Artikel zum Thema Haftung und Absicherung gibt. Inhaltlich will ich nur hinzufügen, dass es – per se – keine ALL-Risk Deckung in Haftpflichtversicherung (casualty) gibt, um hier keine Begriffsverwirrungen zu stiften.
Ich/wir empfehlen den „IT-Leuten“ um den Einkaufspreis (= Versicherungsprämie) bei den Vermögensschäden erträglich zu machen, einen hohen SB von zumindest 50% des EGT zu wählen. Im Gegenzug sollte dann der Einkauf von hohen Versicherungssummen (wir empfehlen EUR 10 Mio. aufwärts) – über einen bis 2 Layer (sogenannte Exzedenten) machbar sein.